网络设备安全配置规范

1、网络设备安全配置规范CISCO路由器及基于CISCO IOS的三层交换模块部分目录 TOC o 1-5 h z HYPERLINK l bookmark0 o Current Document 第一部分设备的安全机制3 HYPERLINK l bookmark2 o Current Document 访问控制3 HYPERLINK l bookmark4 o Current Document 数据加密3日志问题3 HYPERLINK l bookmark8 o Current Document 防攻击能力4 HYPERLINK l bookmark10 o Current Document 第

2、二部分设备安全配置建议 5 HYPERLINK l bookmark12 o Current Document 访问控制列表及其管理 5访问控制列表特性 5访问控制列表应用 5实施原则73网管及认证问题8远程登录8远程登录的原则8启用SSH服务8登录空闲时间9登录尝试次数10并发登录个数 10采用访问列表严格控制访问的地址 11帐号和密码管理11帐号认证和授权12本机认证和授权12AAA 认证12RADIUS 认证方式13TACACS+认证方式13第一部分 设备的安全机制该部分内容对Cisco路由器和基于Cisco IOS的交换机及其三层处理模块自 身的安全机制进行简单描述，对每种安全机制可以

3、解决什么问题进行阐述。1访问控制Cisco设备具有强大的访问控制能力，具体如下：可以实现对远程登录并发个数和空闲时长的限制；支持使用SSHf弋替Telnet ,并提供ACL对用户登陆进行严格控制；支持AAAi1证和授权；支持snmp管理认证、限制TRA鼠机，修改TRAFP 口等；路由协议的认证支持 RIP、OSP桥口 BGP MD认证，同时也支持密码 明文认证；2数据加密CISCCK备的数据加密能力主要有：支持SSHHt Telnet,可以在网络中传递加密的用户名和密码；对于enable密码，使用加密的 enable secret,并且密码可以通过service password-encryp

4、tion 命令，进行密码力口密；提供Cisco加密技术（CET ;IPSec技术实现数据传输的加密技术。日志问题Cisco设备将 LOG信息分成八个级别，由低到高分别为debugging、informational 、notifications 、warnings、errors、critical 、alerts 、emergencies 0可以设置将一定级另的 LOG?肖息通过SYSLOGSNMP TRA传递给SERVER:期保存，对SERVE的地址可以进行严格控制4防攻击能力Cisco设备的防攻击能力主要体现如下：可以通过对Q0s技术的配置，起到自身的防护的能力，它支持排队 技术、CA济口

5、GTS;结合强大的ACL命令，用于自身以及网络的防攻击，支持标准访问 控制列表、扩展的访问控制列表、动态访问列表、自反访问列表、 基于时间的访问控制列表、基于上下文的访问控制列表，从而保证 了强大的防攻击能力； 支持黑洞路由；支持源路由检查。对QOSS性的说明如下：Cisco设备通过配置QOS1性具有一定的自动攻击 检测和防范机制。如排队技术、CAR GTS都通过对网络流量控制，在一定程度 上实现对攻击的防护。排队技术允许用户按照报文优先级的顺序， 定义报文从接 口发送的顺序，从而控制路由器接口的拥塞。这样我们可以对已经明确的安全流 量设置高优先级，让这些流量优先通过，而丢弃低优先级流量，在一

6、定程度上丢 弃了一些攻击包；CAFR1 Committed Access Rate的简写，意思是：承诺访问速 率，允许某一设备严格地限制流入或流出某一接口流量数量的一种技术。CAR次件确保只有指定数量的流量被发送或接收，而其他的流量会被丢弃。流量整形技 术GTS与CARg术相似，都是通过定义参数来对流量分类，并按这些分类来管 理流量。区别在于整形试图缓冲流量，并尽可能以不丢弃报文的方式传送它们。 和CAR一样，可以定义平均位速率、一个正常突发率和一个异常突发率值。与 CAM同，流量整形只用在路由器接口的输出流量上。第二部分设备安全配置建议设备安全配置建议是本规范重要的一个部分，该部分将对Cis

7、co路由器和基 于Cisco IOS的交换机及其三层处理模块安全配置的细节进行描述， 并对配置适 用的网络层次、对设备性能的影响和配置实施的注意点进行详细说明。1访问控制列表及其管理访问控制列表特性访问列表是网络防御的前沿阵地，Cisco设备支持两种类型的访问控制列表： 标准访问列表和扩展访问列表。标准访问控制列表控制基于网络地址的信息流，其分配的ACS为1-99和1300-1999;扩展访问列表通过网络地址和传输中的数据类型进行信息流的控制，其分配的AC号为100-199和2000-2699。在IOS版本12.0及其以上版本，可以使用 命名的访问表，它允许用户为访问表定义名称。 这类访问表建立之后，用户可以 删除访问表的某个表项，而不会导致对整个访问表的删除。但附加的表项仍然是 增加到访问表的最后。对于路由器接口，一个访问表必须在创建之后应用到某个接口上，它才能产生作用。因为通过接口的数据流是双向的， 所以访问表要应用到接口的特定方向 上，向外的方向或者向内的方向。CISC破备对于不匹配任何表项的数据包，默认是拒绝其通过的操作。访问控制列表应用Cisco访问控制列表提供如下应用：标